Une nouvelle campagne utilisant un kit d’exploitation a été observée abusant d’une faille d’Internet Explorer corrigée par Microsoft l’année dernière pour livrer le cheval de Troie RedLine Stealer.
“Lorsqu’il est exécuté, RedLine Stealer effectue une reconnaissance contre le système cible (y compris le nom d’utilisateur, le matériel, les navigateurs installés, le logiciel antivirus), puis exfiltre les données (y compris les mots de passe, les cartes de crédit enregistrées, les portefeuilles cryptographiques, les connexions VPN) vers une commande et un contrôle à distance. serveur,” Bitdefender mentionné dans un nouveau rapport partagé avec The Hacker News.
La plupart des infections se situent au Brésil et en Allemagne, suivis des États-Unis, de l’Égypte, du Canada, de la Chine et de la Pologne, entre autres.
Les kits d’exploit ou packs d’exploit sont des outils complets qui contiennent une collection d’exploits conçus pour tirer parti des vulnérabilités des logiciels couramment utilisés en analysant les systèmes infectés à la recherche de différents types de failles et en déployant des logiciels malveillants supplémentaires.
La principale méthode d’infection utilisée par les attaquants pour distribuer des kits d’exploitation, dans ce cas le Rig Exploit Kitse fait via des sites Web compromis qui, lorsqu’ils sont visités, suppriment le code d’exploitation pour finalement envoyer la charge utile RedLine Stealer pour mener des attaques de suivi.
La faille en question est CVE-2021-26411 (score CVSS : 8,8), une vulnérabilité de corruption de mémoire affectant Internet Explorer qui a déjà été militarisée par des acteurs de la menace liés à la Corée du Nord. Il a été traité par Microsoft dans le cadre de ses mises à jour Patch Tuesday pour mars 2021.
“L’échantillon RedLine Stealer fourni par RIG EK est emballé dans plusieurs couches de chiffrement […] pour éviter d’être détecté », a noté la société roumaine de cybersécurité, le déballage du logiciel malveillant passant par pas moins de six étapes.
RedLine Stealer, un logiciel malveillant de vol d’informations vendu sur des forums clandestins, est doté de fonctionnalités permettant d’exfiltrer les mots de passe, les cookies et les données de carte de crédit enregistrés dans les navigateurs, ainsi que les portefeuilles cryptographiques, les journaux de discussion, les identifiants de connexion VPN et le texte des fichiers selon les commandes reçues de un serveur distant.
C’est loin d’être la seule campagne qui implique la distribution de RedLine Stealer. En février 2022, HP détaillé une attaque d’ingénierie sociale utilisant de faux programmes d’installation de mise à niveau de Windows 11 pour inciter les utilisateurs de Windows 10 à télécharger et à exécuter le logiciel malveillant.